La Comisión Federal de Comercio anunciado el viernes finalizó una orden (pdf) que exige a Marriott International y a su filial Starwood Hotels que mejoren su seguridad digital, informes pitidocomputadora. La FTC acusó a las empresas de prácticas de seguridad laxas que dieron lugar a tres grandes infracciones detectadas en 2015, 2018 y 2020, “que afectaron a más de 344 millones de clientes en todo el mundo”, filtrando datos de pasaportes, tarjetas de pago y otra información.
La infracción más corta duró 14 meses antes de ser detectada, mientras que en la más larga los atacantes mantuvieron el acceso durante cuatro años, a partir de 2018. Los programas de seguridad reforzados que acordaron establecer incluyen la creación de políticas para conservar la información solo durante el mayor tiempo posible. es necesario y publicar un enlace que permita a los clientes de EE. UU. solicitar la eliminación de información vinculada a su dirección de correo electrónico o cuenta de fidelidad.
Los hoteles han sido uno de los muchos objetivos clave de los piratas informáticos, y una infracción el año pasado atrapó a la presidenta de la FTC, Lina Khan, entre las muchas personas que quedaron esperando para registrarse cuando un ataque de ransomware obligó a MGM Resorts a recurrir al uso de lápiz y papel.
La FTC anunció sus cargos en Octubreacusando a las empresas de haber “engañado a los consumidores” con afirmaciones falsas de “seguridad de datos razonable y adecuada”. Sus supuestas fallas incluyeron tener malas prácticas de contraseñas y firewall y no parchear software y sistemas obsoletos. El mismo día que la FTC reveló los cargos, la oficina del Fiscal General de Connecticut anunció que Marriott había aceptado un acuerdo de 52 millones de dólares.
Más allá de mejorar su seguridad, las empresas ahora tienen prohibido “tergiversar cómo recopilan, mantienen, utilizan, eliminan o divulgan la información personal de los consumidores; y la medida en que las empresas protegen la privacidad, seguridad, disponibilidad, confidencialidad o integridad de la información personal”. Otros requisitos incluyen mantener registros de cumplimiento y someterse a inspecciones de la FTC. La orden permanecerá en vigor durante 20 años.
